摘要:
PE结构浅析 知识导向: 程序最开始是存放在磁盘上的,运行程序首先需要申请4GB的内存,将程序从磁盘copy到内存,但不是直接复制,而是进行拉伸处理。 这也就是为什么会有一个文件中地址和一个VirtualAddress,即所谓的FOA和VA RVA是相对地址,也就是相对于可选头中ImageBase的 阅读全文
摘要:
导入表的结构导入表的结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstT 阅读全文